Основы защищённого делопроизводства Методическое пособие по курсу Технология защищённого документо - Макаревич О.Б., Баб
.pdfзованная копировальная бумага и лента уничтожаются под контролем ответственных лиц.
Вероятность утечки секретной информации из документов особенно велика в процессе их пересылки. Если нет возможности пользоваться услугами военизированной фельдсвязи, то доставку секретных документов и ценностей следует организовать своими силами с привлечением сотрудников собственной службы безопасности или же обратиться в специализированные фирмы, которые такие услуги оказывают за плату.
Служащие фирмы, отвечающие за сохранность, использование и своевременное уничтожение секретных документов, должны быть защищены от соблазна торговли секретами фирмы простым, но весьма надежным способом - хорошей зарплатой.
В процессе хранения и пересылки секретных документов могут быть применены средства защиты и сигнализации при несанкционированном доступе к ним. Одна из новинок - светочувствительное покрытие, наносимой на документы, которое может проявиться под воздействием света, указывая тем самым на факт ознакомления с документами или их фотографированием посторонними лицами.
Используют в этих целях и электронику. Электронное устройство величиной со спичечный коробок реагирует на свет. Стоит его включить и поместить в сейфе, под бумагами на рабочем столе - и в вашем распоряжении надежный сторож.
Специалистам по вопросам защиты коммерческой информации известны
ииные технологии и системы охраны конфиденциальных документов от несанкционированного доступа или возможной утечки из них охраняемых сведений.
Скоммерческой тайной связано такое понятие, как интеллектуальная собственность, которое в широком смысле слова может быть определено как коммерчески ценные идеи. Не обязательно, чтобы это было что-то новое или запатентованное. Главное, чтобы информация не относилась к числу общеизвестной.
Впервые понятие «интеллектуальная собственность» прозвучало у нас в 1990 году в тексте Закона о собственности в РСФСР. А вообще оно существует с 1967 года, когда на Стокгольмской конференции была создана Всемирная организация интеллектуальной собственности, к которой недавно присоединилось
инаше государство. До этого собственностью считалось только то, что можно взять в руки, потрогать или на что можно посмотреть. Наше руководство не задумывалось над тем, какой поистене бесценной интеллектуальной собственностью располагает страна, и что беречь ее надо не меньше, чем золотой запас. Этому свидетельствует целый ряд горьких уроков. Притчей во языцех стал метод непрерывной разливки стали, изобретенный у нас и успешно используемый во всем мире для возвращения которого на Родину пришлось заплатить немалые деньги. В стране создано большое число лекарственных препаратов, секре-
21
ты которых уплыли за рубеж, и сейчас мы вынуждены покупать патенты на их производство. Японский бизнесмен тепло поблагодарил журнал «Юный техник» за его приложение «Сделай сам». Используя чертежи, помещенные в этом издании, он заработал миллионы долларов. И подобным примерам нет числа.
Новые идеи - специфический товар, имеющий коммерческую стоимость. В отличие от материальных вещей, которые постоянно обладают стоимостью, сколько бы раз их ни производили, стоимость идей одноразовая (никто не будет платить за уже известные сведения).
Интеллектуальная собственность имеет не только реальную стоимость, в которую входят затраты на получение информации и ее защиту, но и потенциальную стоимость (возможная прибыль при ее реализации). В качестве несколько неожиданного примера информации, имеющей потенциальную стоимость, можно привести «негативную информацию» (о том, что не надо делать), которая позволяет не расходовать средства на тупиковые разработки.
Сегодня уровень конкурентоспособности в немалой степени зависит от умения защитить свою деловую и техническую информацию от хищений, несанкционированного использования, изменения или уничтожения.
3. ДОКУМЕНТООБОРОТ И ОБЕСПЕЧЕНИЕ ЗАЩИТЫ СЕКРЕТНОЙ ИНФОРМАЦИИ
Промышленный шпионаж приобрел гигантский размах.
По оценке экспертов, ежегодный урон американского бизнеса от кражи производственных и торговых секретов превышает четыре миллиарда долларов.
Кроме прямого похищения, происходит и утечка информации, при этом наиболее вероятными ее источниками являются:
-персонал, имеющий доступ к информации;
-документы, содержащие эту информацию;
-технические средства и системы обработки информации, в том числе линии связи, по которым она передается.
Концептуальная модель защиты информации при защищенном документообороте приведена на рис. 3
Итак, персонал - один из главных каналов утечки информации. Зная это, следует более тщательно изучать биографии особо важных сотрудников. Следует обратить пристальное внимание как на вновь пришедших на работу, так и на тех, кто подлежит увольнению. Эти люди находятся в ситуации, наиболее благоприятных для утечки информации.
Возможными источниками утечки интеллектуальной собственности могут стать конгрессы, конференции, симпозиумы, торговые выставки, демонстрации созданной техники, ярмарки, реклама и т. п. Профессионалов промышленного шпионажа привлекают и различные съезды специалистов, потому что они знают: самые лучшие источники коммерческой и научно-технической информации - болтуны.
Утечка информации охватывает широкий круг различных действий. Это
22
иутрата информации из компьютера, и пропажа документов. Утратой считается
итайное копирование информации конфиденциального характера с дискеты на дискету, снятая "лично для себя" копия документа, содержащего коммерческую тайну.
Концептуальная модель защиты информации
при защищенном документообороте
Администрация База данных Структурные подразделения Архивы
Компьютерные сети, связь
|
|
Способы |
|
|
|
|
|
|
|
|
|
Средства |
|
|
|
|
доступа |
|
|
|
|
|
|
|
|
|
защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
за счет разглашения |
|
|
ИНФОРМАЦИЯ |
|
|
|
|
физические |
|||||
|
|
|
|
|
аппаратно-программные |
|||||||||
|
|
за счет утечки |
|
|
|
|
||||||||
|
|
|
|
|
|
|
криптографические |
|||||||
|
|
за счет НСД |
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Цели |
|
|
|
|
|
|
Способы |
|||||
|
|
|
|
|
|
|
|
|
|
защиты |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
ознакомление |
|
|
|
|
упреждение, пресечение |
|||||||
|
|
модификация |
|
|
|
|
|
|
предотвращение |
|||||
|
|
уничтожение |
|
|
|
|
|
|
противодействие |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
Источники |
|
|
|
|
|
|
Направления |
|||||
|
|
информации |
|
|
|
|
|
|
|
|
защиты |
|
||
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
люди |
|
|
|
|
|
|
|
|
|
|
||
документы, публикации |
|
|
|
|
|
|
|
правовая |
||||||
|
|
тех. носотели |
|
|
|
|
|
|
|
организационная |
||||
|
|
тех. средства |
|
|
|
|
|
инженерно-техническая |
||||||
|
продукция, отходы |
|
|
|
|
|
|
|
|
|
|
|||
Рис. 3
23
Существуют три общепринятых метода защиты интеллектуальной собственности: патент, авторское право и коммерческая тайна.
Патентом оформляется право изобретателя «законно монополизировать» использование изобретения в течение установленного периода времени. Основами гражданского законодательства срок действия патента определен в 20 лет. Патент является способом защиты промышленной, а не коммерческой информации.
Авторское право, напротив, защищает только форму, в которой выражена конкретная идея, а не саму идею. Это отличает авторское право и от патента, и от коммерческой тайны, которые относятся к сущности, содержанию идеи. Оригинальные мысли, содержащиеся в книгах и научных статьях, после их прочтения уже принадлежат каждому. Ими можно свободно пользоваться. Однако при использовании этих идей в новых публикациях необходимо делать ссылки на конкретного автора, иначе будут нарушены авторские права. Это относится в большей степени к литературному творчеству, музыке, программному обеспечению.
Коммерческая тайна как форма интеллектуальной собственности в нашей стране не охвачена правовым регулированием, поэтому для защиты коммерческой информации применение законодательных мер значительно осложнено, и здесь большое значение приобретают другие меры защиты.
Немаловажную роль в защите информации играют морально-этические нормы, которые не являются обязательными, однако их несоблюдение ведет к потере авторитета (престижа) человека, группы лиц либо всей организации.
При охране информации от прямого хищения или уничтожения нередко прибегают к мерам физической защиты. Это - замки на дверях, решетки на окнах, различные механические, электромеханические и электронные устройства охраны здания, лаборатории, других помещений фирмы.
Физические меры защиты, как правило, применяются в совокупности с
административными мероприятиями. К ним относятся: организация соот-
ветствующего режима секретности, пропускного и внутреннего режима, создание службы безопасности, обучение и инструктаж персонала.
Технические системы охраны включают в себя электромеханические, акустические, емкостные, радиотехнические, магнитометрические средства.
Криптографические меры защиты позволяют шифровать информацию таким образом, чтобы ее содержание, могло стать доступным только при предъявлении специфической информации (ключа). Специалисты считают криптографическое закрытие информации наиболее эффективным и надежным средством.
В качестве потенциальных угроз безопасности информации могут выступать стихийные бедствия, неблагоприятная внешняя среда, катастрофы, политическая нестабильность, ошибки и неисправности программы, компьютерная преступность. Концептуальная модель угроз безопасности информации при
24
защищенном документообороте приведена на рис. 4
Концептуальная модель угроз безопасности информации при защищенном документообороте
Администрация База данных Структурные подразделения Архив
Угрозы
Ознакомление,подделка. Нарушение технологии производства. Кража, пром. шпионаж, мошенничество, уничтожение. Целостности, конфиденциальности, полноте информации, доступности
Источники
угроз
Сотрудники, посредники, поставщики, преступники, конкуренты, коррупционеры, административные органы.
Объекты
угроз
Сведения о составе, состоянии и деятельности. Продукция, средства производства, комплектующие , информация
Рис. 4
Исходя из характера угрозы, применяются различные меры противодей-
ствия.
Для защиты коммерческих секретов следует соблюдать следующие пра-
вила:
-обеспечение безопасности всегда и везде - дело профессионалов, потому что для этого требуются специальные знания;
-предпринимаемые превентивные меры должны предусматривать специ-
25
альную программу по дезинформации промышленных, шпионов;
-система превентивных мер должна включать в себя такой важнейший элемент, как организация движения охраняемой информации, исключив при этом возможность её утечки;
-система превентивных мер должна быть основана на материальной заинтересованности сотрудников, а для этого надо адекватно оплачивать их труд.
Внашей стране такую систему превентивных мер по защите коммерческой тайны могут позволить себе пока что немногие частные фирмы.
Объективные потребности фирмы, банка, страховой компании в обеспечении сохранности коммерческой тайны определяются рядом факторов, а именно:
-обострением конкурентной борьбы на рынке товаров и услуг;
-важностью сохранения секретной информации в течение определенного времени;
-возможностью проверить каждый из вероятных каналов утечки информации, и в первую очередь по конкретным служащим.
Последние два фактора должны быть тщательно просчитаны по затратам: стоит ли овчинка выделки?
На начальной стадии создания фирмы, когда ее штат ограничен несколькими сотрудниками, а финансовые возможности не позволяют осуществить весь комплекс мер по защите информации, складывается ситуация, при которой любые действия конкурентов несут реальную угрозу гибели фирмы. На этой стадии необходимо осуществить хотя бы минимально возможный комплекс мер:
-предусмотреть, чтобы служащие в заявлениях о приеме на работу, в трудовых соглашениях и контрактах принимали на себя четко выраженные письменные обязательства не разглашать тайны фирмы и иные сведения, ею охраняемые;
-определиться с потоками информации и все документы, содержащие коммерческую тайну, снабдить соответствующим грифом, отражающим степень их секретности. Сюда относятся, прежде всего, документы с планами предстоящей деятельности фирмы, технологическая документация, списки поставщиков и покупателей;
-предусмотреть вопросы защиты коммерческой тайны в типовых соглашениях с заказчиками, покупателями изделий и услуг фирмы, продавцами, торговыми агентами и др.
В промышленно развитых странах основой защиты коммерческой тайны являются законодательные акты и контракты найма-увольнения, заключаемые служащими с фирмой. Даже при наличии соответствующих законов многие фирмы идут на то, чтобы подписывать контракты со своими служащими о неразглашении доверенных им, секретов либо с момента установления трудовых отношений, либо когда сотрудник получает доступ к коммерческим секретам.
В условиях, когда правового регулирования охраны коммерческой тайны
26
еще не существует, хотя кое-какие проекты уже разработаны, следует обусловить принятие на себя служащим фирмы, работающим по контракту, обязательства о неразглашении коммерческих секретов, при этом данный документ должен прямо предусматривать право работодателя расторгнуть трудовое соглашение (контракт) с сотрудником, нарушившим названное обязательство, а также принимать иные меры, предусмотренные законом.
В странах, где нормы права довольно детально регламентируют охрану коммерческой тайны, тем не менее общеприняты типовые формы соглашений (контрактов) о ее неразглашении. Рассмотрим форму документа, рекомендованную по защите деловой информации в Соединенных Штатах Америки.
Соглашение о неразглашении коммерческой тайны
Приступая к выполнению своих обязанностей в качестве служащего Компании, я понимаю, что получу доступ к информации, касающейся ее бизнеса. Я также понимаю, что во время работы будут заниматься анализом, составлением схем, таблиц, чертежей, докладов и других конфиденциальных документов, относящихся к делам Компании.
В связи с этим даю обязательство, что ни во время моей работы, ни после увольнения не буду обсуждать с кем-либо или раскрывать (за исключением случаев выполнения своих обязанностей в качестве служащего Компании) ка- кую-либо информацию или коммерческие секреты, полученные или разработанные мною. Я также согласен с тем, что все аналитические разработки, схемы, чертежи, доклады и другие документы, подготовленные лично мною либо в сотрудничестве с другими служащими, являются собственностью Компании. Обязуюсь, что не буду сам и не позволю никому другому снимать копии или делать аннотации с вышеупомянутых документов.
Я подтверждаю, что не не имею перед кем-либо никаких обязательств, которые входят в противоречие с настоящим Соглашением или ограничивают мою деятельность в Компании.
Дата |
Подпись Служащего |
Дата |
Подпись Свидетеля |
Конечно, служащий фирмы, подписывая подобного рода документ, должен четко представлять, что конкретно из деловой информации и технологических разработок является тайной фирмы. Как раз по этой причине и считается обязательным требование о том, чтобы вся секретная информация была обособлена от остальных сведений, а документы, ее содержащие, носили соответствующий гриф.
Приведенный выше текст соглашения о сохранности коммерческой тайны, по мнению американских юристов, оставляет многие вопросы без ответа. На практике для охраны коммерческой тайны фирмы ее служащими как во
27
время работы в ней, так и после увольнения, используются более детально проработанные соглашения. Важно, чтобы условия сохранения коммерческой тайны бывшим сотрудником фирмы были реальными по времени, оставляя ему возможность подыскать достойно оплачиваемую работу.
Использование контрактов о сохранении коммерческой тайны позволяет обеспечить формальную юридическую защиту коммерческой информации, к которой имеет или имел доступ персонал фирмы.
Однако коммерческие тайны полностью или частично могут стать известны деловым партнерам вашей фирмы в процессе обмена с ними необходимой для совместной работы информацией. Следовательно, они должны принять на себя обязательства по защите ваших коммерческих тайн, равно как и вы должны поступить таким же образом в отношении их. Это традиционная для делового мира практика, но и она должна подкрепляться письменными обязательствами.
Соглашение о сохранности коммерческой информации
Здесь и далее «Доверяющий» или Ваше имя, здесь и далее «Доверенный» желают рассмотреть возможность для чего необходимо, чтобы Доверен-
ный имел доступ к информации о________________________________________
____________________________________________________________________
Эта информация составляет коммерческую тайну Доверяющего и раскрывается только в заранее оговоренных целях. Доверенный обязуется сохранять в секрете эту информацию и не использовать ее в других целях. Доверенный обязуется ознакомить под роспись с этим Соглашением всех своих сотрудников, которые получат доступ к данной информации. По окончании переговоров (или сотрудничества) Доверенный сразу же вернет все материалы, содержащие данную информацию, Доверяющему.
Это соглашение не относится к информации, законным владельцем которой является Доверенный, или информации, полученной им у третьих лиц.
Дата Подписи
Готовя документы на приобретение каких-либо товаров или услуг, размещая заказы на них, следует в соответствующих соглашениях или договорах обязательно указать, что продавец (поставщик) обязуется содержать в секрете всю предоставленную ему в связи с данным заказом вашу информацию. По исполнении заказа все документы фирмы, содержащие секретную информацию, он обязуется возвратить во взаимообусловленные сроки.
Рекомендуется на документах с конфиденциальной информацией, адресуемой поставщикам фирмы, ставить штамп, который свидетельствовал бы о том, что изложенные в документе сведения являются частной собственностью фирмы и требуют соответствующей защиты и своевременного возвращения владельцу.
Соглашение о сохранении коммерческой информации следует подписать
28
и с теми партнерами, которые предоставляют фирме разного рода сервисные услуги (ремонт оборудования, уборка помещений).
Если фирма прибегает к услугам торговых посредников или нанимает торговый персонал, то и в этом случае единственной возможностью сохранения коммерческих секретов будет подписание с ними соответствующего контракта.
Нет иных путей для сохранения коммерческих секретов производимой (реализуемой) фирмой продукции (товаров) в общении с контрагентом, кроме как заключение соответствующего соглашения о сохранении коммерческой тайны. Такие сведения могут быть нужны ему, например, для того, чтобы оценить ваши возможности по наращиванию производства данного вида продукции (товара), и краткое соглашение о сохранении тайны заставит его беречь полученную информации.
Таким же образом охраняются коммерческие тайны третьей стороны, в частности вашего поставщика.
Деловые партнеры могут высказать пожелание о предоставлении им всей коммерческой информации для оценки реального состояния ваших дел. На предварительной стадии обсуждения сделки следует воздерживаться от детального обсуждения вашей охраняемой информации. Это возможно лишь после подписания соглашения о сохранении тайны.
В целом же защита коммерческих тайн фирмы в общении с дружественными, лояльными лицами, или же занимающими по отношению к вашему бизнесу нейтральную позицию, осуществляется на основе заключения соответствующих соглашений, прямо предписанных в нормах права, либо так или иначе основанных на них.
Даже тщательно охраняемые тайны фирмы могут стать известны вашим конкурентам из обычных публикаций для широкой публики, если пустить это дело на самотек. Поэтому один из сотрудников должен предварительно просматривать готовящиеся к печати брошюры, рекламные объявления, прессрелизы и иные материалы, предназначенные для симпозиумов, конгрессов, выставок, а также выступления, научные и иные публикации сотрудников вашей фирмы. Он должен руководствоваться простым, но достаточно эффективным правилом, суть которого состоит в том, чтобы в максимально возможной степени раздробить, разобщить по времени и по авторам ту строго охраняемую коммерческую информацию, без которой невозможно опубликование упомянутых выше работ. Все это существенно препятствует сбору секретной информации о фирме конкурентами или недоброжелателями. Конечно, этот барьер преодолим, но лишь посредством очень больших затрат.
Трудно найти золотую середину между стремлением сохранить коммерческую тайну и желанием использовать в рекламных целях наиболее впечатляющие данные из строго охраняемой информации, особенно те из них, которые, несомненно, помогли бы расширить сбыт производимых товаров и услуг.
Рассмотрим теперь вопрос о том, где и как предприниматель может получить необходимые ему сведения о клиентах и конкурентах, дающие ему воз-
29
можность нормально работать в условиях рыночной экономики. Известно, что обладание такими сведениями по сути своей есть один из элементов системы превентивных мер по борьбе с промышленным шпионажем.
В капиталистических странах сведения о клиентах принято считать не коммерческой тайной фирмы, а, скорее, ее капиталом. Поэтому список клиентов фирмы и иные сведения о них составляются, в первую очередь, усилиями руководителя и эта информация не доверяется даже его ближайшему окружению.
На каждого клиента фирмы накапливается информация, где отражаются его привычки, характерные черты поведения, его интересы в личной жизни, о предоставляемых ему фирмой привилегиях. Отражаются сведения о его требованиях к качеству и количеству товаров и услуг, какие режимы доставки товаров применялись, какова периодичность поставок, сведения об особенностях платы и иных специфических чертах контрактов с данным клиентом. Здесь отражаются те сведения, которые определяют прибыльность всей операции с ним, какие предполагаются объемы сделок, частота поставок.
Сведения о деятельности фирмы и ее руководителях собирают в различных экономических газетах и журналах, справочниках, выпытывают у биржевиков, покупают у частных детективов.
Осведомленность о наиболее выгодных клиентах конкурента дает шанс победить в состязании с ним, если вам удастся «переманить» его клиентуру. Здесь на первый план выступает персонифицированная информация о клиентах, сведения о симпатиях и антипатиях, об их привязанностях, дружеских связях в среде предпринимателей и их конкурентах, которые влияют на принятие ими решений о поддержке деловых отношений с вашей фирмой или об их прекращении. Сбор информации о клиентах и конкурентах должен быть упорядочен самым тщательным образом, и эта информация должна находиться только у руководства фирмы.
Сотрудники фирмы, продвигающие на рынок ее продукцию, должны представить письменные отчеты о конкретных клиентах по каждому факту продаж. В этих отчетах должны быть отражены перспективы будущих сделок.
Если вашей фирме по силам затраты на содержащие аналитического отдела, изучающего конъюнктуру рынка, клиентов, конкурентов, то и в этом случае следует распределять такого рода конфиденциальную информацию среди сотрудников.
Документация об этом должна быть строго секретной, а персонал, работающий с ней, должно соблюдать правила обращения с секретными документами. Все служащие, работающие непосредственно с клиентами, должны дать письменные обязательства сохранять коммерческие тайны фирмы.
Аналитический отдел или отдел маркетинга, изучая клиентов, должен одновременно собирать и анализировать сведения о конкурентах. Для этого должна быть разработана программа действий каждого сотрудника отдела. Следует четко знать, какие сведения надо получить и где они концентрируются.
30